Identitätsmanagement bezeichnet Prozesse und Dienste die sich mit der Erfassung, Verwaltung und Verwendung von elektronischen Identitäten (E-ID) befassen. Ein E-ID-Okosystem kann aus mehreren staatlich anerkannten Identitätsdienstleistern (IdP) bestehen. Bei diesen registrieren sich E-ID-Benutzer (natürliche Personen) und lassen sich staatlich anerkannte Identifizierungsmittel, wie Passwörter und Security-Tokens, aufsetzen. Benutzer können mittels dieser Identifizierungsmittel ihre Identität und Identitätsattribute, zum Beispiel Name und E-MailAdresse, gegenüber Dienstleistern, sogenannten relying parties (RP) (auf Deutsch: vertrauenden Beteiligten), sicher authentifizieren. Die Schwierigkeit dieses Ansatzes liegt darin, dass der Benutzer bei einem anderen IdP registriert sein kann, als derjenige mit dem der RP eine Geschäftsbeziehung betreibt und welcher deshalb vom RP zum Prüfen von Identitäten verwendet wird. Nehmen wir zum Beispiel an, dass Sie sich bei Google (Ihrem IdP) angemeldet haben, und Sie eine Dienstleistung (einen RP) in Anspruch nehmen wollen, der Facebook (IdP des RP) verwendet um Benutzer zu authentifizieren. Solch ein Login ist nur möglich falls das verwendete Authentifizierungsprotokoll Interoperabilität unterstützt.

Wir analysieren und vergleichen zwei unterschiedliche Entwurfs-Möglichkeiten für solch staatlich anerkannte E-ID-Systeme mit Interoperabilität. Beide verwenden einen Mechanismus mittels dem der IdP des Benutzers Informationen mit dem IdP des RP austauscht. Die erste Möglichkeit nutzt ein sogenanntes Federation Hub. Das Federation Hub ist eine Funktionalität die allen IdP hinzugefügt wird, und die die Weiterleitung von Informationen zwischen dem IdP des RP und dem IdP des Benutzers bewerkstelligt. Die zweite Möglichkeit verwendet eine neue Komponente, genannt Broker, bei dem sich alle RP registrieren. Der Broker ist damit der IdP für alle RP und sobald ein Benutzer nun bei einem RP einloggen möchte, kontaktiert der RP den Broker, welcher die Verbindung mit dem IdP des Benutzers herstellt. …

Quelle / Link: Interoperable, State-approved Electronic Identities